Créer le fichier de configuration

Cette page explique comment créer le fichier de configuration d'entrée utilisé pour configurer l'appliance Google Distributed Cloud (GDC) isolée du réseau.

Créer le fichier de configuration d'entrée

1. Le processus de configuration de l'appliance utilise un fichier YAML d'entrée. Créez ce fichier en respectant exactement le même format que le modèle fourni. Les champs ou sections indiqués comme "Facultatif" doivent être omis, et non laissés vides.

2. Voici un exemple de fichier de configuration d'entrée.

   bgp:
     dataASN: DATAPLANE_ASN
   interconnects:
     customerData:
       asn: CUSTOMER_ASN
       customerPeerSubnets:
       - ipFamily: UPLINK_IP_FAMILY_1
         ipv4:
           ip: UPLINK_IPV4_PEER_1
           subnet:
             gateway: UPLINK_IPV4_GW_1
             subnet: UPLINK_IPV4_NET_1
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_1
           subnet:
             gateway: UPLINK_IPV6_GW_1
             subnet: UPLINK_IPV6_NET_1
       - ipFamily: UPLINK_IP_FAMILY_2
         ipv4:
           ip: UPLINK_IPV4_PEER_2
           subnet:
             gateway: UPLINK_IPV4_GW_2
             subnet: UPLINK_IPV4_NET_2
         # Optional: Only specify ipv6 for DualStack ipFamily
         ipv6:
           ip: UPLINK_IPV6_PEER_2
           subnet:
             gateway: UPLINK_IPV6_GW_2
             subnet: UPLINK_IPV6_NET_2
   dns:
     delegatedSubdomain: DELEGATED_SUBDOMAIN
   externalCIDR:
     ipFamily: IP_FAMILY
     ipv4: EXTERNAL_NETWORK_IPV4
     ipv6: EXTERNAL_NETWORK_IPV6
   
   # Optional: External hardware security module (HSM) information
   externalHSM:
     primaryAddress:  EXTERNAL_HSM_PR_ADDR
     secondaryAddresses:
       - EXTERNAL_HSM_SE_ADDR
     caCert: EXTERNAL_HSM_CA_CERT
     clientCert: EXTERNAL_HSM_CLIENT_CERT
     clientKey: EXTERNAL_HSM_CLIENT_KEY
   
   # Optional: External IdP information
   externalIDP:
     name: EXTERNAL_IDP_NAME
     oidc:
       clientID: EXTERNAL_IDP_CLIENT_ID
       clientSecret: EXTERNAL_IDP_CLIENT_SECRET
       issuerURI: EXTERNAL_IDP_ISSUER_URI
       scopes: EXTERNAL_IDP_SCOPES
       userClaim: EXTERNAL_IDP_USER_CLAIM
       caCert: EXTERNAL_IDP_CA_DATA
     saml:
       idpEntityID: EXTERNAL_IDP_ENTITY_ID
       idpSingleSignOnURI: EXTERNAL_IDP_SSO_URI
       idpCertDataList: EXTERNAL_IDP_CERT_DATA
       userAttribute: EXTERNAL_IDP_USER_ATTRIBUTE
     initialAdmin: EXTERNAL_IDP_INITIAL_ADMIN
   

Informations sur le Border Gateway Protocol (BGP)

Le protocole BGP (Border Gateway Protocol) échange des informations de routage avec des réseaux externes. Ces réseaux sont identifiés à l'aide de numéros de système autonome (ASN). Pour assurer une connectivité appropriée entre l'appliance GDC isolée et les réseaux externes, toutes les valeurs ASN doivent être uniques au niveau mondial.

1. DATAPLANE_ASN : numéro ASN attribué au plan de données pour l'instance d'appliance GDC sous air gap. Par exemple : 65204.

2. CUSTOMER_ASN : numéro ASN attribué au plan de données pour le réseau client. Par exemple, 4200002002.

Informations sur l'association

Les configurations de liaison montante sont des connexions d'appairage utilisées pour connecter en externe des instances d'appliance GDC isolées à d'autres services tels que des réseaux clients et d'autres instances d'appliance GDC isolées. Ces configurations de liaison montante et le câblage d'une instance d'appliance GDC isolée sont importants pour assurer une connectivité appropriée avec le réseau externe.

1. Pour chaque liaison montante nécessaire à l'appairage client avec l'instance d'appliance GDC isolée, remplissez une section d'élément de liaison montante dans le champ Sous-réseaux d'appairage client. Si le nombre que vous avez indiqué ne correspond pas au nombre attendu d'interfaces de liaison montante (2), les interfaces de liaison montante restantes sont allouées à partir du sous-réseau du plan de données externe.
2. Pour les liaisons montantes, spécifiez les éléments suivants :
   1. UPLINK_IP_FAMILY_1, UPLINK_IP_FAMILY_2 : spécifiez le sous-réseau de la famille d'adresses IP. La valeur doit être définie sur IPv4 ou DualStack.
      1. Si vous sélectionnez IPv4,
         1. UPLINK_IPV4_PEER_1 IP,UPLINK_IPV4_PEER_2 IP : décrit l'adresse IP attribuée au port routé. Si vous ne renseignez pas ce champ, il sera extrait du bloc de sous-réseau pair.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2 : saisissez le bloc de sous-réseau pair configuré sur le réseau client pour le lien de commutateur et de port fourni. Il s'agit d'un sous-réseau /31. Par exemple, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2 : saisissez l'adresse IP représentant l'adresse IP visible par le client dans le sous-réseau de pairs /31. Par exemple, 172.16.255.148.
      2. Si vous sélectionnez DualStack,
         1. UPLINK_IPV4_PEER_1 IP, UPLINK_IPV4_PEER_2 IP : décrit l'adresse IPv4 attribuée au port routé. Si vous ne renseignez pas ce champ, il sera extrait du bloc de sous-réseau pair.
         2. UPLINK_IPV4_NET_1, UPLINK_IPV4_NET_2 : pour IPv4, saisissez le bloc de sous-réseau pair configuré sur le réseau client pour le lien de port et de commutateur fourni. Il s'agit d'un sous-réseau /31. Par exemple, 172.16.255.148/31.
         3. UPLINK_IPV4_GW_1, UPLINK_IPV4_GW_2 : pour IPv4, saisissez l'adresse IPv4 représentant l'adresse IP visible par le client dans le sous-réseau homologue /31. Par exemple, 172.16.255.148.
         4. UPLINK_IPV6_PEER_1 IP, UPLINK_IPV6_PEER_2 IP : décrit l'adresse IPv6 attribuée au port routé. Si vous ne renseignez pas ce champ, il sera extrait du bloc de sous-réseau pair.
         5. UPLINK_IPV6_NET_1, UPLINK_IPV6_NET_2 : pour IPv6, saisissez le bloc de sous-réseau homologue configuré sur le réseau client pour le lien de port et de commutateur fourni. Il s'agit d'un sous-réseau /127. Par exemple, FC00::/127.
         6. UPLINK_IPV6_GW_1,UPLINK_IPV6_GW_2 : pour IPv6, saisissez l'adresse IPv6 représentant l'adresse IP visible par le client dans le sous-réseau homologue /127. Par exemple, FC00::.

Informations sur le système de noms de domaine (DNS)

1. DELEGATED_SUBDOMAIN : saisissez le nom de sous-domaine DNS délégué pour l'instance d'appliance GDC isolée sur le serveur DNS parent. Ce nom de domaine complet est utilisé comme suffixe pour les services d'appliance GDC isolée, tels que la gestion des clusters. Le format attendu est LOCATION.SUFFIX.

   Remplacez les éléments suivants :

   • LOCATION : identifiant de zone du déploiement de l'appliance GDC isolée, tel que us-central1-a
   • SUFFIX : tout suffixe DNS valide, tel que zone1.google.gdch.test ou us-central1-a.gdch.customer

Réseau du plan de données (CIDR externe)

1. Pour le réseau de la famille d'adresses IP du plan de données, indiquez si le sous-réseau est IPv4 ou DualStack. Dans la section externalCIDR, remplacez IP_FAMILY par IPv4 ou DualStack.
   1. Si vous sélectionnez IPv4,
      1. Saisissez l'adresse réseau IPv4 avec une taille minimale de 23 pour le réseau du plan de données externe. Utilisez ce réseau pour les services accessibles en externe, tels que le serveur de l'API Management et les interfaces de stockage. L'adresse réseau doit être un bloc d'adresses IP continu préalloué dans votre réseau. Par exemple, remplacez EXTERNAL_NETWORK_IPV4 par 10.100.101.0/23.
   2. Si vous sélectionnez "DualStack" (Double pile),
      1. Saisissez l'adresse réseau IPv4 avec une taille minimale de 23 pour le réseau du plan de données externe. Utilisez ce réseau pour les services accessibles en externe, tels que le serveur de l'API Management et les interfaces de stockage. L'adresse réseau doit être un bloc d'adresses IP continu préalloué dans votre réseau. Par exemple, remplacez EXTERNAL_NETWORK_IPV4 par 10.100.101.0/23.
      2. Saisissez l'adresse réseau IPv6 avec une taille minimale de 64. Ce bloc d'adresses IP est divisé en deux. La première moitié est utilisée comme réseau de plan de données externe et la seconde comme réseau de plan de données interne. Par exemple, remplacez EXTERNAL_NETWORK_IPV6 par FC00::/64.

Facultatif : Informations sur le module de sécurité matériel (HSM) externe

Les appareils HSM hébergent des clés de chiffrement et effectuent des opérations cryptographiques à l'aide du protocole KMIP (Key Management Interoperability Protocol). Vous pouvez utiliser un HSM avec NetApp ONTAP Select (OTS) pour le stockage. Si vous souhaitez utiliser un serveur NTP externe, remplissez la section externalHSM.

Avant de commencer, configurez d'abord le réseau HSM.

1. EXTERNAL_HSM_PR_ADDR : adresse du service KMIP principal. Respectez le format (IP|DNS):Port. Si le port est omis, le port par défaut 5696 est utilisé.

   • Dans le champ IP, saisissez l'adresse réseau IP du service KMIP. Exemple : 8.8.8.8:5696.
   • Dans le champ Nom DNS, saisissez le nom de domaine complet du service KMIP. Par exemple, te.us-central1-a:5696.

2. EXTERNAL_HSM_SE_ADDR : adresses des services KMIP secondaires. Respectez le format (IP|DNS):Port. Si le port est omis, le port par défaut 5696 est utilisé. Vous pouvez spécifier jusqu'à trois adresses secondaires, séparées par des virgules.

3. EXTERNAL_HSM_CA_CERT : saisissez le CACert. Le certificat CA est le certificat signé pour le service KMIP.

4. EXTERNAL_HSM_CLIENT_CERT : saisissez le certificat client pour vous connecter au HSM externe.

5. EXTERNAL_HSM_CLIENT_KEY : saisissez la clé client associée au certificat client pour vous connecter au HSM externe.

Facultatif : Associer un fournisseur d'identité

Vous pouvez vous connecter à votre propre fournisseur d'identité (IdP) existant pour la gestion des identités et des accès, ou configurer un IdP Keycloak intégré. Si vous souhaitez utiliser votre propre fournisseur d'identité, remplissez la section externalIDP.

1. Choisissez le type de fournisseur d'identité auquel vous vous connectez : OIDC (OpenID Connect) ou SAML (Security Assertion Markup Language).
2. Si vous choisissez un fournisseur OIDC, spécifiez les paramètres suivants :
   1. EXTERNAL_IDP_NAME : saisissez le nom du fournisseur d'identité. Le nom que vous indiquez ici est l'alias de l'identité dans le système.
   2. EXTERNAL_IDP_ISSUER_URI : saisissez l'URI de l'émetteur. L'URI de l'émetteur doit pointer vers le niveau à l'intérieur de .well-known/openid-configuration. Les applications clientes envoient des requêtes d'autorisation à cette URL. Le serveur de l'API Kubernetes utilise cette URL pour découvrir les clés publiques permettant de valider les jetons.
   3. EXTERNAL_IDP_CA_DATA : saisissez un certificat encodé au format PEM encodé en base64 pour les données de l'autorité de certification du fournisseur d'identité. Pour en savoir plus, consultez https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail.
      1. Pour créer la chaîne, encodez le certificat, y compris les en-têtes, en base64.
      2. Incluez la chaîne obtenue en tant que ligne unique. Exemple : LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC...k1JSUN2RENDQWFT==
   4. EXTERNAL_IDP_CLIENT_ID : saisissez l'ID client de l'application cliente qui envoie des requêtes d'authentification au fournisseur d'identité.
   5. EXTERNAL_IDP_CLIENT_SECRET : saisissez le code secret du client, qui est une clé secrète partagée entre votre fournisseur d'identité et l'appliance GDC isolée du réseau.
   6. EXTERNAL_IDP_USER_CLAIM : saisissez le champ revendication utilisateur pour identifier chaque utilisateur. Il s'agit du nom de la revendication dans le jeton d'ID OIDC qui contient le nom d'utilisateur. Si cette revendication est absente du jeton d'ID, les utilisateurs ne peuvent pas s'authentifier. La revendication par défaut pour de nombreux fournisseurs est sub. Vous pouvez choisir d'autres revendications, telles que email ou name, en fonction du fournisseur d'identité. Les revendications autres que email sont précédées de l'URL de l'émetteur pour éviter les conflits de noms.
   7. EXTERNAL_IDP_SCOPES : si votre fournisseur d'identité nécessite des niveaux d'accès supplémentaires, saisissez une liste de niveaux d'accès à envoyer à l'IdP, séparés par une virgule. Par exemple, Microsoft Azure et Okta nécessitent le niveau d'accès offline_access.
3. Si vous choisissez un fournisseur SAML, spécifiez les paramètres suivants :
   1. EXTERNAL_IDP_NAME : saisissez le nom du fournisseur d'identité. Le nom que vous indiquez ici est l'alias de l'identité dans le système.
   2. EXTERNAL_IDP_ENTITY_ID : saisissez l'ID d'entité du fournisseur SAML, spécifié au format URI, tel que https://www.idp.com/saml.
   3. EXTERNAL_IDP_SSO_URI : saisissez l'URI SSO, qui correspond à l'URI du point de terminaison SSO du fournisseur SAML, par exemple https://www.idp.com/saml/sso.
   4. EXTERNAL_IDP_CERT_DATA : saisissez la liste des certificats IdP utilisés pour valider la réponse SAML. Ces certificats doivent être encodés en base64 standard et au format PEM. Seuls deux certificats maximum sont acceptés pour faciliter la rotation des certificats IdP.
   5. EXTERNAL_IDP_USER_ATTRIBUTE : saisissez l'attribut utilisateur, qui correspond au nom de l'attribut de la réponse SAML contenant le nom d'utilisateur. Si cet attribut est manquant dans la réponse SAML, l'authentification échoue.

4. EXTERNAL_IDP_INITIAL_ADMIN : pour les fournisseurs SAML et OIDC, saisissez le compte de l'administrateur initial. L'administrateur initial est le premier compte à recevoir l'accès au système une fois l'installation terminée. La valeur que vous saisissez doit correspondre au type de revendication, par exemple une adresse e-mail si la revendication utilisateur pour un fournisseur OIDC est définie sur email.

   Notez le nom de l'administrateur initial, car vous en aurez besoin pour vous connecter au système pour la première fois une fois l'installation terminée.